SCADA Стрейнджлав

SCADA Strangelove — независимая группа исследователей информационной безопасности , основанная в 2012 году и занимающаяся оценкой безопасности промышленных систем управления (ICS) и SCADA .

Основные области исследований включают в себя:

• Обнаружение уязвимостей нулевого дня в киберфизических системах и скоординированное раскрытие уязвимостей;
• Оценка безопасности протоколов АСУ ТП и пакетов разработки;
• Идентификация публично подключенных к Интернету компонентов АСУ ТП и их защита с помощью соответствующих органов;
• Разработка руководств по усилению безопасности программного обеспечения АСУ ТП;
• Сопоставление кибербезопасности с функциональной безопасностью;
• Контроль информированности и предоставление информации о фактическом состоянии безопасности систем АСУ ТП.

Однако интересы SCADA Strangelove выходят за рамки классических компонентов ICS и охватывают различные встроенные системы, включая компоненты умного дома, солнечные панели, ветряные турбины, SmartGrid, а также другие области.

Члены группы разработали и продолжают разрабатывать и публиковать многочисленные инструменты с открытым исходным кодом для сканирования, снятия отпечатков пальцев, оценки безопасности и подбора паролей для устройств ICS. Эти устройства работают по таким промышленным протоколам, как Modbus, Siemens S7, MMS, ISO EC 60870, ProfiNet. ^[1]

В 2014 году Shodan использовала некоторые из опубликованных инструментов для построения карты устройств АСУ ТП, которая находится в открытом доступе в Интернете. ^[2]

Системы оценки безопасности с открытым исходным кодом, такие как THC Hydra, ^[3] Метасплоит, ^[4] и DigitalBond Redpoint ^[5] использовали инструменты и методы, разработанные Shodan.

Группа опубликовала рекомендации по усилению безопасности промышленных решений. ^{[ модное слово ]} на базе Siemens SIMATIC WinCC и WinCC Flexible. ^[6] Рекомендации содержат подробные пошаговые инструкции по настройке безопасности, описания функций внутренней безопасности и соответствующие передовые практики.

Среди наиболее заметных проектов группы — Choo Choo PWN (CCP), также известный как «Атака на критическую инфраструктуру» (CIA). Это интерактивная лаборатория, построенная на программном и аппаратном обеспечении ICS, используемом в реальном мире. Каждая система подключена к инфраструктуре игрушечного города, включающей заводы, железные дороги и другие объекты. Лаборатория демонстрировалась на различных конференциях, включая PHDays, Power of Community, ^[7] и 30С3.

В первую очередь лаборатория используется для обнаружения новых уязвимостей и оценки механизмов безопасности, однако она также используется для проведения семинаров и других образовательных мероприятий. На Positive Hack Days IV участники обнаружили несколько уязвимостей нулевого дня в Indusoft Web Studio 7.1 от Schneider Electric и в конкретном оборудовании АСУ ТП RTU PET-7000. ^[8] во время задачи по обнаружению уязвимостей ICS.

Группа поддерживает Secure Open SmartGrid (SCADASOS). ^[9] проект по поиску и устранению уязвимостей в компонентах интеллектуальных энергосистем, таких как фотоэлектрические электростанции , ветряные турбины , силовые инверторы . В 2015 году было обнаружено и изолировано от Интернета более 80 000 промышленных устройств. ^[10]

Членов группы часто можно увидеть выступающими на таких конференциях, как CCC , научный симпозиум по безопасности SCADA, Positive Hack Days .

Наиболее заметные выступления:

Обзор уязвимостей, обнаруженных в широко распространенном программном обеспечении Siemens SIMATIC WinCC и инструментах, реализованных для поиска АСУ в Интернете. ^[11]

Этот доклад представлял собой обзор уязвимостей, обнаруженных в различных системах производства ABB, Emerson, Honeywell и Siemens, и был представлен на PHDays III. ^[12] и PHDays IV. ^[13]

Последствия исследований безопасности, направленных на реализацию различных протоколов промышленных сетей. ^[14] Profinet, Modbus, DNP3, IEC 61850-8-1 (MMS), IEC (Международная электротехническая комиссия) 61870-5-101/104, FTE (отказоустойчивый Ethernet), Siemens S7.

Презентации исследований безопасности ^[15] демонстрирующее влияние радиосетей и сетей 3G/4G на безопасность мобильных устройств, а также промышленного оборудования.

Анализ архитектуры безопасности и внедрение наиболее распространенных платформ для генерации ветровой и солнечной энергии, производящих многие гигаватты энергии. ^[16]

Оценка кибербезопасности систем железнодорожной сигнализации, таких как автоматическое управление поездами (ATC), компьютерная блокировка (CBI) и Европейская система управления поездами (ETCS). ^[17]

В докладе Сергея Гордейчика «Пейзаж киберугроз Большого Китая» был представлен обзор уязвимостей, атак и инцидентов кибербезопасности в регионе Большого Китая. ^[18]

В докладе Кирилла Нестерова и Александра Тляпова «Безнадежно: Релейная защита для автоматизации подстанций» были представлены результаты анализа безопасности ключевого компонента Цифровой подстанции – Терминалов релейной защиты . Были представлены уязвимости, в том числе удаленное выполнение кода в Siemens SIPROTEC, General Electric Line Distance Relay, NARI и защитных реле ABB. ^[19]

Все названия, лозунги и графические элементы отсылают к фильму Стэнли Кубрика « Доктор Стрейнджлав» . В своих беседах члены группы часто ссылаются на события холодной войны, такие как Карибский кризис, и проводят параллели между гонкой ядерных вооружений и нынешней эскалацией кибервойны.

Члены группы придерживаются подхода «ответственного раскрытия информации» и «готовы ждать годами, пока поставщик исправляет уязвимость». Публичные эксплойты обнаруженных уязвимостей не публикуются. Это связано с долговечностью ICS и, как следствие, с длительным процессом исправления ICS. Однако конфликты все еще случаются, особенно в 2012 году, когда на конференции DEF CON ^[20] было отменено из-за спора о постоянных недостатках промышленного программного обеспечения Siemens.